Arne Schönbohm, Chef des Bundesamts für die Sicherheit in der Informationstechnik BSI, sprach von der Alarmstufe Rot. Inzwischen bekommt davon auch die Bevölkerung etwas mit: Wenn Angriffe mit Erpressersoftware Gerichte, Kliniken, Universitäts-Systeme oder ganze Kommunalverwaltungen lahmlegen. Und das oft nicht nur für Tage, sondern für Wochen oder Monate.

(imago / Sergey Mironov)Experten warnen vor dem IT-Blackout

Die Corona-Pandemie hat der Digitalisierung in Deutschland einen kräftigen Schub verliehen – gleichzeitig haben Cyberangriffe deutlich zugenommen. Denn viele Bereiche sind nur unzulänglich abgesichert.

Im IT-Lagebericht ist von einer Professionalisierung der Cyberkriminellen die Rede. Sie geht leider weiterhin nicht mit einer Professionalisierung der Gefährdeten einher. Ob kleine und mittelständische Unternehmen oder kommunale Behörden: Es fehlt zu oft an Fachwissen, Bewusstsein und an den Ressourcen, um der Cybersicherheit den notwendigen Platz einzuräumen.

In einen Widerspruch manövriert

Die scheidende Bundesregierung hat das BSI rechtlich und personell besser ausgestattet. Das ist ihr zugutezuhalten. Allerdings hat sie die Behörde auch in einen Widerspruch manövriert: Auf der einen Seite soll sie für IT-Sicherheit sorgen - ob in den Netzen der Bundesverwaltung, bei der Entdeckung von Software-Schwachstellen oder direkt bei der Beratung von Verbrauchern, Firmen und Behörden.

Auf der anderen Seite will das verantwortliche Bundesinnenministerium jedoch das Wissen des BSI auch dazu verwenden, die Überwachungstechnik seiner Sicherheitsbehörden weiter zu entwickeln. Konkret kann das BSI Informationen über bestimmte Software-Schwachstellen zurückhalten, damit daraus Staatstrojaner entwickelt werden.

Schutz vor Hackerangriffen einerseits und Unterstützung beim staatlichen Hacking andererseits: Dieser Widerspruch ist in der jetzigen Konstellation nicht aufzulösen. Und er ist gefährlich: Denn niemand kann sicherstellen, dass die Hintertür, mit deren Hilfe das Bundeskriminalamt WhatsApp-Nachrichten von Verdächtigen mitliest, nicht auch anderweitig genutzt wird. Zum Beispiel von Cyberkriminellen oder auch von ausländischen Geheimdiensten, die so Dissidenten ausspähen.

Was die neue Bundesregierung tun könnte

IT-Sicherheitslücken sind ein Risiko für Wirtschaft und Gesellschaft. Das einzige Ziel des BSI muss deshalb sein, sie möglichst schnell zu erkennen und zu schließen. Das sehen prinzipiell auch die möglichen Koalitionspartner SPD, FDP und Grüne so. Das BSI aus dem Orbit des Bundesinnenministeriums herauszulösen, dürfte Teil des Koalitionsvertrags werden.

Ob man das BSI allerdings als unabhängige Behörde konzipiert, will gut überlegt sein: Denn Cybersicherheit heißt für das BSI nicht nur zu kontrollieren, sondern auch operativ tätig zu sein. Es spricht deshalb einiges dafür, es mit politischer, also ministerieller Verantwortung zu hinterlegen.

Dennoch bietet sich einer neuen Regierung die Chance, eine Richtungsänderung in Cybersicherheit einzuleiten. Ein BSI zu entwickeln, das ausreichend Kompetenz und Ausstattung hat, um Staat, Wirtschaft und Gesellschaft bei der Minimierung von Cyberrisiken zu unterstützen. Und das dabei keine Zweifel an seiner Vertrauenswürdigkeit aufkommen lässt.

Johannes Kuhn (Deutschlandradio / Christian Kruppa) Johannes Kuhn, Jahrgang 1979, hat Anglistik und Germanistik in Würzburg und Jyväskylä studiert. Nach der Volontärsausbildung an der Berliner Journalisten-Schule (BJS) arbeitete er zunächst als Redakteur bei ZEIT Online in Hamburg und Berlin. Danach gut zehn Jahre für die "Süddeutsche Zeitung" (Online und Print) tätig, unter anderem zwischen 2014 und 2019 als freier Korrespondent im Westen der USA. Seit Sommer 2019 freier Korrespondent im Hauptstadtstudio des Deutschlandradios. Schwerpunktthemen: Digitalpolitik und gesellschaftliche Digitalisierung sowie die Partei Die Linke.